引用:https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks 报告日期:2022年1月11日
- 除提供验证码外,应采取哪些安全措施?
- Django和/或Python的哪个版本会受到IP欺骗攻击的影响?
引用:https://portswigger.net/daily-swig/ip-spoofing-bug-leaves-django-rest-applications-open-to-ddos-password-cracking-attacks 报告日期:2022年1月11日
我对你分享的链接进行了一些研究,研究了Django和Django REST框架的源代码。
基本的Django不会受到此漏洞的影响,因为它没有使用 X-Forwarded-For
,Python也是如此。
几乎所有版本的Django REST框架都存在漏洞,因为9年前的这个提交添加了 HTTP_X_FORWARDED_FOR
检查:https://github.com/encode/django-rest-framework/blob/d18d32669ac47178f26409f149160dc2c0c5359c/rest_framework/throttling.py#L155
由于尚未发布补丁,您可以采取措施以避免此问题,例如实现自己的速率限制器,并替换 get_ident
仅使用 REMOTE_ADDR
。
如果您的Djando REST Framework应用程序在代理后面,则可能不会受到此影响。